Карточка защитной меры

Куда я попал?

SECURITM это SGRC система, автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Подробнее

Наш канал

Настройка контроля учетных записей (UAC) в ОС Windows

2 17

Цель: полноценная настройка контроля учетных записей (User Access Control, UAC) для защиты от несанкционированного повышения привилегий пользователем (злоумышленником).
Реализуется через настройку групповой политики домена, на уровне серверов и рабочих станций.
Возможна реализация через наложенные средства защиты от НСД, типа Secret Net и Dallas Lock.

1. Повышение прав только для подписанных и проверенных исполняемых файлов

Следует отключить проверку цепочки сертификатов PKI до разрешения запуска заданного исполняемого файла.
ОС Windows обеспечивает проверку подписи для инфраструктуры общедоступных ключей (PKI) для любого интерактивного приложения, которое запрашивает повышение привилегий. Вы можете управлять приложениями, которые разрешены для работы с населением сертификатов в хранилище доверенных издателей локального компьютера.

Доверенный издатель — это эмитент сертификатов, которому пользователь компьютера доверяет, и у него есть сведения о сертификате, добавленные в хранилище доверенных издателей.

Пользователи и администраторы по своей сути доверяют приложениям, используемым с этими источниками информации, и предоставляют свои учетные данные. Если одно из этих приложений будет заменено приложением-изгоем, которое кажется идентичным надежному приложению, конфиденциальные данные могут быть скомпрометированы, а административные учетные данные пользователя также будут скомпрометированы.

Настройка с помощью групповой политики:

Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Локальные политики\Параметры безопасности.
Параметр: Контроль учетных записей: Повышение прав только для подписанных и проверенных исполняемых файлов.
Значение: Отключен

2. Повышать права для UIAccess-приложений только при установке в безопасных местах

Microsoft UI Automation — это текущая модель для поддержки требований к доступности в Windows операционных системах.
Приложения, запрашивающие работу с уровнем целостности UIAccess, помеченные UIAccess=true в манифесте приложения, должны находиться в безопасном расположении в файловой системе.
Относительно безопасные расположения ограничены следующими каталогами:

\Program Files\ включая подтеки
\Windows\system32\
\Program Files (x86)\ включая подтеки для 64-битных версий Windows

Примечание. Windows принудительно проводит обязательную проверку подписей PKI для любого интерактивного приложения, запрашивающего выполнение на уровне целостности UIAccess, вне зависимости от состояния данного параметра безопасности.

Настройка с помощью групповой политики:

Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Локальные политики\Параметры безопасности.
 Параметр: Контроль учетных записей: Повышать права для UIAccess-приложений только при установке в безопасных местах.
 Значение: Включен

3. Включен режим одобрения повышения привилегий

Необходимо чтобы встроенная учетная запись администратора входила в режим утверждения администратора так, чтобы любая операция, требуемая для повышения привилегий, отображала запрос, который предоставляет администратору возможность разрешить или запретить повышение привилегии. Т.е. по умолчанию любая операция, требующая повышения прав, предлагает пользователю подтвердить операцию.

Настройка с помощью групповой политики:

Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Локальные политики\Параметры безопасности.
Параметр: Контроль учетных записей: Режим одобрения администратором для встроенной учетной записи администратора.
Значение: Включен

4. Определено поведение запроса на повышение прав для администраторов

Определить поведение запроса на повышение прав администраторам: требовать запрос учетных данных. В этом случае операция, требуемая повышения привилегий, побуждает администратора вводить имя пользователя и пароль. Если администратор вводит допустимые учетные данные, операция продолжается с применимой привилегией.

Настройка с помощью групповой политики:

Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Локальные политики\Параметры безопасности.
Параметр: Контроль учетных записей: Поведение запроса на повышение прав для администраторов в режиме одобрения администратором.
Значение: Запрос учетных данных

5. Определено поведение запроса на повышение прав для пользователей
Требуется определить поведение запроса на повышение прав пользователям: автоматически отклонять запросы на повышение прав. При попытке выполнить операцию, требуемую повышения привилегий, возвращает сообщение об ошибке "Отказано в доступе" стандартным пользователям.

Настройка с помощью групповой политики:

Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Локальные политики\Параметры безопасности.
Параметр: Контроль учетных записей: Поведение запроса на повышение прав для обычных пользователей.
Значение: Автоматически отклонять запросы на повышение прав

6. Все администраторы работают в режиме одобрения администратором
Для безопасного выполнения операций необходимо контролировать утверждения прав администратора для встроенной учетной записи администратора. Встроенная учетная запись администратора должна использовать режим утверждения. По умолчанию любая операция, требуемая повышения привилегий, будет побуждать пользователя одобрить операцию.

Настройка с помощью групповой политики:

Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Локальные политики\Параметры безопасности.
Параметр: Контроль учетных записей: Все администраторы работают в режиме одобрения администратором.
Значение: Включен

7. Переключение к безопасному рабочему столу при выполнении запроса на повышение прав
Необходимо определить, будут ли запросы на повышение прав выводиться на интерактивный рабочий стол пользователя или на защищенный рабочий стол.
Защищенный рабочий стол ограничивает функциональность и доступ к системе до тех пор, пока требования не будут выполнены. Основное отличие защищенного рабочего стола от рабочего стола пользователя состоит в том, что здесь разрешено запускать только доверенные процессы, которые запускаются в системе (то есть на уровне привилегий пользователя ничего не работает).

Настройка с помощью групповой политики:

Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Локальные политики\Параметры безопасности.
Параметр: Контроль учетных записей: Переключение к безопасному рабочему столу при выполнении запроса на повышение прав.
Значение: Включен

8. Виртуализация сбоев записи в файл или реестр на основании расположений пользователя
Следует управлять перенаправлением сбоев записи приложений в определенные расположения в реестре и файловой системе. Эта мера позволяет уменьшить опасность приложений, которые выполняются от имени администратора и во время выполнения записывают данные в папку %ProgramFiles%, %Windir%, %Windir%\system32 или HKEY_LOCAL_MACHINE\Software\
Сбои записи приложений должны перенаправляться во время выполнения в определенные пользователем расположения в файловой системе и реестре.

Настройка с помощью групповой политики:

Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Локальные политики\Параметры безопасности.
Параметр: Контроль учетных записей: При сбоях записи в файл или реестр виртуализация в место размещения пользователя.
Значение: Включен

9. Запретить UIAccess-приложениям запрашивать повышение прав, не используя безопасный рабочий стол
Необходимо контролировать, могут ли программы доступности пользовательского интерфейса (UIAccess или UIA) автоматически отключать безопасный рабочий стол для повышения прав, у стандартных пользователей. По умолчанию в ОС Windows отключено данное поведение. Защищенный рабочий стол может быть отключен только пользователем интерактивного рабочего стола или путем отключения параметра политики 'Контроль учетных записей: переключение к безопасному рабочему столу при выполнении запроса на повышение прав'.

Настройка с помощью групповой политики:

Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Локальные политики\Параметры безопасности.
Параметр: Контроль учетных записей: Разрешить UIAccess-приложениям запрашивать повышение прав, не используя безопасный рабочий стол.
Значение: Отключен

Рекомендации к заполнению карточки:

Если ведется реестр групповых политик (GPO) - привязать соответствующую политику к карточке как инструмент

Область действия: Вся организация

Классификация

Тип

Техническая

Превентивная

Реализация

Автоматически

Периодичность

Постоянно

Ответственный

Не определено

Инструменты

Не определено

Ресурсная оценка

	Качественная оценка			Количественная оценка		Итоговая оценка
	Стоимость	Трудозатраты	Сложность	Стоимость, тыс. руб	Трудозатраты, дней/ год	Итоговая оценка
CAPEX ^?	Неизвестно	Неизвестно	Неизвестно	Неизвестно	Неизвестно	Отсутствует
OPEX ^?	Неизвестно	Неизвестно	Неизвестно	Неизвестно	Неизвестно	Отсутствует

Связанные риски

Риск	Связи
Обход систем защиты из-за возможности обхода User Access Control (UAC) в ОС Windows Повышение привилегий Целостность	1
Повышение привилегий в ОС из-за возможности обхода User Access Control (UAC) в ОС Windows Повышение привилегий Целостность	1

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.